Microsoft Cloud の脆弱性:Bing 検索のハイジャック/Office 365 でデータ流出の可能性

Microsoft Cloud Vulnerability Led to Bing Search Hijacking, Exposure of Office 365 Data

2023/03/30 SecurityWeek — サイバー・セキュリティ企業の Wiz によると、Azure Active Directory (AAD) のミスコンフィグレーションにより、アプリケーションが不正アクセスにさらされ、Bing.com が乗っ取られる可能性もあったという。Microsoft AAD は、クラウドベースの IAM (Identity and Access Management) サービスであり、一般的には Azure App Services/Azure Functions アプリケーションの認証メカニズムとして使用される。このサービスは、マルチテナントを含む各種のアカウント・アクセスをサポートしており、適切な制限がない限り、任意の Azure テナントに属するユーザーが、自分自身の OAuth トークンを発行できるようになっている。


マルチテナント型のアプリケーションの場合、開発者はユーザーの元のテナントを確認し、不正なログインを防ぐためにアクセス・ポリシーを適用する責任がある。しかし、インターネットからアクセス可能なマルチテナント型アプリケーションの 25%以上が、適切な検証を欠いていることを、Wiz は発見している。

この問題は、ユーザーの ID を検証するという、責任の所在が開発者にあることが不明確なことで、設定や検証のミスが生じていることに起因している。しかし Wiz が発見したのは、Microsoft の自社製アプリケーションが、同じカテゴリーに分類されるという問題だった。


その1つが Bing Trivia だ。つまり、Bing.com にリンクされた CMS (Content Management System) へのアクセスを提供する Microsoft のアプリケーションで、Wiz の研究者たちは Microsoft の検索エンジンの結果を制御できるようになった。この攻撃手法を、Wiz は BingBang と命名した。

Wiz は、「Bing Trivia のページにアクセスした脅威アクターたちは、あらゆる検索ワードの改ざんや、誤報キャンペーンの開始だけではなく、他の Web サイトでのフィッシングや成りすましが可能だった」と説明している。

研究者たちは、Bing と Office 365 が接続されていることを発見し、Bing.com に XSS (Cross-Site Scripting) ペイロードを追加することで、任意のユーザーの Office 365 トークンを侵害できることを突き止めた。それにより、Eメール/Teams メッセージ/カレンダー/SharePoint および OneDrive ファイルなど、ユーザーの Office 365 データへのアクセスが可能になった。

Wiz は、「同じアクセス権を持つ脅威アクターであれば、同じペイロードで最も人気のある検索結果をハイジャックし、数百万人のユーザーの機密データを流出させることができた」と指摘している。

その他にも、Mag News/Centralized Notification Service (CNS) API/Contact Center/PoliCheck/Power Automate Blog/ファイル管理システム COSMOS などの、Microsoft の社内アプリケーションもミスコンフィグレーション影響を受けている。

Wiz は、「この調査で特定された問題は、マルチテナントとして構成された Azure Active Directory アプリケーションを持つ組織のケースにおいて、十分な権限チェックが行われていないため、影響を受ける可能性があるという点だ。開発者の検証責任が不明確な Azure App Service/Azure Functions アプリケーションで、この暴露は著しく発生し得ると、我々は、スキャン・データに基づき評価している」と述べている。

管理者は、アプリケーションの設定を参照し、マルチテナント・アクセスが適切に設定されていることを確認すべきである。また、マルチテナントが不必要な場合には、シングルテナント認証への切替が推奨される。また、脆弱性のあるアプリケーションについては、過去のアクティビティをログで確認することも望ましい (ただし、AAD のログはその目的には不十分だ) 。

Wiz が報告した 2023年 1月31日に、Microsoft は Bing 問題に対処している。同社は、2月下旬に脆弱なアプリケーションにパッチを適用し、今週には $40,000 のバグ・バウンティを発行している。

Azure Active Directory (AAD) のミスコンフィグレーションが原因で、深刻な事態に陥る可能性が、Wiz の調査により回避されたという話です。このところ、Active Directory に関するトピックが多いように感じます。よろしければ、以下の記事を、ご参照ください。

2023/03/22:AD におけるインサイダーの脅威
2023/03/10:MFA の限界:AD との相性の悪さ
2023/01/12:IcedID:24時間以内に AD ドメインを侵害

%d bloggers like this: